マイクロソフトが2001年3月30日に公表したInternet Explorer(IE) 5.Xのセキュリティ・ホールを悪用した,感染力の非常に強いコンピュータ・ウイルスが出現する恐れがある。独立行政法人 産業技術総合研究所 情報処理研究部門 主任研究員で,セキュリティ技術などを研究している高木浩光氏は,IEのセキュリティ・ホールを検証,感染力の強いウイルスが作成できることを確認して報告した(参考資料1,参考資料2-1,参考資料2-2)。
メールの本文を読むだけでも感染する
メールを媒介として増殖するウイルスの多くは,ユーザー自身がメールの添付ファイルを実行しなければ感染しない。しかしこのセキュリティ・ホールを悪用して,本文を読むだけで感染するウイルスが出現する可能性がある。情報処理振興事業協会(IPA)セキュリティセンター ウイルス対策室も,この問題に関連して「パソコンユーザのためのウイルス対策7箇条」を2001年4月6日に改訂し,ウイルス対策の一つにWWWブラウザやメール・ソフトへのセキュリティ・ホールの修正ファイル適用を加えた。
このセキュリティ・ホールは,ある方法により,IEがHTMLメールの添付ファイルを自動的に実行してしまうというもの。OutlookやOutlook Expressのように、HTMLメールを表示する際にIEの機能を利用するメール・クライアント・ソフトウエアを使用している場合に問題となる。WWWサイトにアクセスしたり,HTMLメールを開いたりしただけで,その中に含まれるEXEファイルやスクリプトが実行されてしまう。このセキュリティ・ホールを修正するには修正ファイルを適用するか,Internet Explorer 5.01 Service Pack 2を適用する必要がある(詳しくは参考資料3)。
このセキュリティ・ホールは主にIEの問題として説明されることが多いため,社内からインターネットへのWWWアクセスを許していない場合は問題ないと思われるかもしれない。しかし,外部のWWWにアクセスしない場合でもウイルス・メールという形で被害にあう可能性がある。さらに「セキュリティ・ホールを悪用するサイトが現れた場合,サイトが閉鎖されればひとまず被害の拡大は収まる。しかし,電子メールで増殖するウイルスが流行してしまうと,いつまでも被害が拡大し続けてしまう」(高木氏)ため,WWWアクセスよりもウイルス・メールの方が被害が大きくなる恐れもある。
EXEファイルを自動実行される恐れあり
高木氏がWindows 98 2nd Editionのインストール直後の状態(Outlook Expressのバージョンは5.00.2615.200)で検証したところ,Outlook Expressはセキュリティ・ホールにより添付ファイルを自動実行した。IE 5.01 Service Pack 1をインストールしてOutlook Expressのバージョンを5.50.4133.2300に上げても,結果は変わらなかった。
高木氏は「このセキュリティ・ホールが悪用されて、これまでにない速度で広がるウイルスが作成される恐れがある。しかも、その作成はきわめて容易だ」と語る。2000年から2001年にかけてVBS/LOVELETTERやW32/Hybris,W32/MTXなどが大流行したが,いずれもウイルス付きメールを読むだけでは感染せず,受けとったユーザーが添付ファイルを実行しないと感染しない。しかし,このセキュリティ・ホールが悪用されると、添付ファイルを開かなくとも,Outlookなどでメールを読むだけで感染し,勝手にウイルス・メールを送信し破壊活動を行うウイルスが登場することになる。
問題のセキュリティ・ホールは「悪用があまりにも“容易”」
メールを読むだけで感染するウイルスは,これまでにも発見されている。99年に発見されたVBS/BubbleBoyやWscript/KakWormである。このうちBubbeBoyについては,ウイルス作者が警告の意味で各アンチウイルス・ベンダーに送付しただけであり,一般にはほとんどばらまかれなかっただったため,被害は少なかった。Wscript/KakWormは日本での感染報告は少ないが,これはWscript/KakWormは日本語環境では発病しないためである。だが欧米では広範に被害が発生しており,アンチ・ウイルス・ベンダーのシマンテックのウイルス情報によればWscript/KakWormによる被害状況は「高」である。さらに,BubbleBoyとKakWormはいずれもウイルス本体はスクリプトだが,今回のセキュリティ・ホールを悪用すれば,添付したEXEファイルも自動実行される。このため,スクリプトだけでは作成できない複雑で駆除の困難なウイルスの配布も可能になってしまう。しかも「今回の発覚したセキュリティ・ホールは悪用があまりにも“容易”」(高木氏)であるという。
情報処理振興事業協会(IPA)セキュリティセンター ウイルス対策室は「現時点で,このセキュリティ・ホールを悪用したウイルスが流行するかどうかの予測は難しい」(ウイルス対策室 室長補佐 木谷文雄氏)としながらも,「その可能性は否定できない。最新のセキュリティ・パッチを適用するべき」(同)と話している。IPAでは公開している文書「パソコンユーザのためのウイルス対策7箇条」を2001年4月6日に改訂して「セキュリティパッチをあてること」という項目を従来の項目に替えて新設,「基本的なウイルス対策を行っていても,セキュリティ・ホールのあるソフトウエアを使用していると,ウイルスに感染してしまうことがある」と指摘している。
■参考資料1:セキュリティ・ホール情報メーリング・リストBUGTRAQ-JPへの投稿記事「MS01-020のOutlook Expressへの影響」
■参考資料2-1:セキュリティ・ホール情報メーリング・リストBUGTRAQ-JPへの投稿記事「Re: MS01-020のOutlook Expressへの影響」
■参考資料2-2:セキュリティ・ホール情報メーリング・リストBUGTRAQ-JPへの投稿記事「Re: MS01-020のOutlook Expressへの影響」
■参考資料3:マイクロソフト セキュリティ情報 「不適切なMIMEヘッダーが原因でInternet Explorerが電子メールの添付ファイルを実行する(MS01-020)」
